Professional Documents
Culture Documents
Auditoría informática
www.themegallery.com
LOGO
Metodologías de auditoría informática
Introducción
LOGO
Metodologías de auditoría informática
Generales.
Especificas.
LOGO
Metodologías de auditoría informática
Metodologías Generales
Las metodologías generales permiten dar una opinión sobre la
fiabilidad de la información, el resultado de esta metodología
es un informe generalizado donde se destacan las
vulnerabilidades encontradas. Es importante conocer que este tipo
de auditoria tiene como material de trabajo los check list,
(cuestionarios), entre otras que permiten anotar
observaciones que ayudan a conservar un banco importante de
pruebas sobre hallazgos.
Metodologías Específicas
Las metodologías especificas son aquellas que el auditor interno o
externo “crea” para su uso son mas especificas y exhaustivas, ya
que sirve para evaluar un área en particular, al igual que la
anterior metodología sus informes permiten el registro de
observaciones.
LOGO
Metodologías de auditoría informática
Es importante señalar que el uso de cualquier metodología de
auditoria informática no garantiza por sí sola el éxito de los
diferentes planes de A.I
LOGO
Metodologías de auditoría informática
Etapas de la Metodología
1. Alcance y Objetivos de la Auditoría Informática
LOGO
Metodologías de auditoría informática
Fase 1: Definición de Alcance y Objetivos
LOGO
Metodologías de auditoría informática
Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién
diseña y quién ejecuta es fundamental. Para realizar esto en auditor
deberá fijarse en:
1)Organigrama:
El organigrama expresa la estructura oficial de la organización a
auditar. Si se descubriera que existe un organigrama fáctico diferente al
oficial, se pondrá de manifiesto tal circunstancia.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
2) Departamentos:
Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá
brevemente las funciones de cada uno de ellos.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
4) Flujos de Información:
Además de las corrientes verticales intradepartamentales, la
estructura organizativa cualquiera que sea, produce corrientes de
información horizontales y oblicuas extradepartamentales.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
El equipo de auditoría informática debe poseer una adecuada
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
elegida para cada uno de ellos, ya que los mismos deben constituir un
sistema compatible e intercomunicado. La configuración de los
sistemas esta muy ligada a las políticas de seguridad lógica de las
compañías.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
en facturables y no facturables.
LOGO
Metodologías de auditoría informática
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
Aplicaciones bases de datos y ficheros
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
Aplicaciones bases de datos y ficheros
c. Documentación
La existencia de una adecuada documentación de las aplicaciones
proporciona beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el
mantenimiento de los mismos.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
- Recursos humanos
- Recursos materiales
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas de software propias
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Recursos materiales
a. Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y Flexibles.
Habitualmente se añaden a las ejecuciones de los procesos del cliente
para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la
actividad de Técnica de Sistemas del auditado y de la cantidad y calidad
de los datos ya existentes.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Recursos Humanos
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría
Informática
Perfiles Profesionales de los auditores informáticos
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Recursos Humanos
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Recursos Humanos
Elaboración del Plan y de los programas de trabajo
En el Plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos
En el Plan se establecen los recursos y esfuerzos globales que van a
ser necesarios
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la
revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.
Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficientemente como para permitir
modificaciones a lo largo del proyecto.
LOGO
Metodologías de auditoría informática
Fase 5: Actividades de la Auditoría
Informática
LOGO
Metodologías de auditoría informática
Fase 5: Actividades de la Auditoría
Informática
Técnicas de Trabajo:
Análisis de la información recabada del auditado
Análisis de la información propia
Cruzamiento de las informaciones anteriores
Entrevistas
Simulación
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estándares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditoría (Generadores de Programas)
Matrices de riesgo
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Estructura del informe final
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Estructura del informe final
4. Cuerpo expositivo:
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Modelo conceptual de la exposición del informe final:
El informe debe incluir solamente hechos importantes. La inclusión
de hechos poco relevantes o accesorios desvía la atención del lector.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado
Ha de ser relevante para el auditor y pera el cliente
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
3 – Repercusión del hecho
Se redactará las influencias directas que el hecho pueda tener sobre
otros aspectos informáticos u otros ámbitos de la empresa.
LOGO
Metodologías de auditoría informática
Fase 7: Carta de Introducción o Presentación
del Informe Final
La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta que encargo
o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios
Incluirá fecha, naturaleza, objetivos y alcance
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas
de gran debilidad.
Presentará las debilidades en orden de importancia y
gravedad.
En la carta de Introducción no se escribirán nunca
recomendaciones.
. LOGO
Metodologías de auditoría informática
Metodología de
Enrique Hernández
LOGO
Metodologías de Auditoría
Informática
propio auditor
LOGO
Metodologías de Auditoría
Informática
LOGO
El plan del auditor Informático
LOGO
Partes del Plan Auditor Informático
Funciones
Procedimientos
Sistema de evaluación
Nivel de exposición
Plan de trabajo
LOGO
Partes del Plan Auditor Informático
FUNCIONES
Ubicación en el organigrama.
LOGO
Partes del Plan Auditor Informático
PROCEDIMIENTOS
LOGO
Partes del Plan Auditor Informático
Limitada a un aspecto
LOGO
Partes del Plan Auditor Informático
LOGO
Partes del Plan Auditor Informático
NIVEL DE EXPOSICIÓN
LOGO
Partes del Plan Auditor Informático
LOGO
Partes del Plan Auditor Informático
PLAN DE TRABAJO
LOGO
Control Interno
LOGO
Control Interno
LOGO
Control Interno
LOGO
Control Interno
C.I.I. - PRINCIPALES FUNCIONES
Realizar en los diferentes sistemas (centrales, departamentales, redes
locales, Peces, etc.) y entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades operativas sobre:
LOGO
Control Interno
7. La seguridad informática:
9. Normas de seguridad.
12.Licencias.
LOGO
Control Interno
PRINCIPALES OBJETIVOS
LOGO
Control Interno
Elementos del Control Interno
La clasificación mas aceptada de los elementos del Control Interno
es la de Johansen Bertoglio [Bertoglio, 1986]
1. AMBIENTE DE CONTROL
2. EVALUACION DE RIESGOS
3. ACTIVIDADES DE CONTROL
4. INFORMACION Y COMUNICACIÓN
5. SUPERVISION Y SEGUIMIENTO
LOGO
Control Interno
Componentes del Control Interno
1. AMBIENTE DE CONTROL
La organización debe establecer un entorno que permita el
estimulo y produzca influencia en la actividad del recurso humano
respecto al control de sus actividades. Para que este ambiente de
control se genere se requiere de otros elementos asociados al
mismo los cuales son:
Integridad y valores éticos. Se deben establecer los valores
éticos y de conducta que se esperan del recurso humano al
servicio del Ente, durante el desempeño de sus actividades
propias.
Competencia. Se refiere al conocimiento y habilidad que debe
poseer toda persona que pertenezca a la organización, para
desempeñar satisfactoriamente su actividad.
LOGO
Control Interno
Componentes del Control Interno
1. AMBIENTE DE CONTROL
Experiencia y dedicación de la Alta Administración. Es vital
que quienes determinan los criterios de control posean gran
experiencia, dedicación y se comprometan en la toma de las
medidas adecuadas para mantener el ambiente de control.
LOGO
Control Interno
Componentes del Control Interno
2. EVALUACION DE RIESGOS
Riesgos. Los factores que pueden incidir interfiriendo el
cumplimiento de los objetivos propuestos por el sistema
(organización), se denominan riesgos. Estos pueden provenir del
medio ambiente o de la organización misma. Se debe
entonces establecer un proceso amplio que identifique y analice las
interrelaciones relevantes de todas las áreas de la organización y
de estas con el medio circundante, para así determinar los riesgos
posibles.
La evaluación de riesgos presenta los siguientes aspectos
sobresalientes:
LOGO
Control Interno
Componentes del Control Interno
3. ACTIVIDADES DE CONTROL
LOGO
Control Interno
Componentes del Control Interno
4. INFORMACIÓN Y COMUNICACIÓN
LOGO
Control Interno
Componentes del Control Interno
5. SUPERVISION Y SEGUIMIENTO
LOGO
Control Interno
Componentes del Control Interno
5. SUPERVISION Y SEGUIMIENTO
LOGO
Control Interno
METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método descriptivo
2. Método grafico
3. Método de cuestionarios
LOGO
Control Interno
METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método descriptivo
Consiste en la narración de los procedimientos relacionados
con el control interno, los cuales pueden dividirse por
actividades que pueden ser por departamentos, empleados y
cargos. Los procesos de control relacionados incluye por lo menos
cuatro características:
LOGO
Control Interno
METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método Gráfico
LOGO
Control Interno
METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método de Cuestionarios
Básicamente consiste en un listado de preguntas a través de
las cuales se pretende evaluar las debilidades y fortalezas
del sistema de control interno.
Estos cuestionarios se aplican a cada una de las áreas en las
cuales el auditor dividió los rubros a examinar. Para elaborar las
preguntas, el auditor debe tener el conocimiento pleno de los
puntos donde pueden existir deficiencias para así formular la
pregunta clave que permita la evaluación del sistema en vigencia
en la empresa. Generalmente el cuestionario se diseña para que
las respuestas negativas indiquen una deficiencia de control
interno. Algunas de las preguntas pueden ser de tipo general y
aplicable a cualquier empresa, pero la mayoría deben ser
especificas para cada organización en particular y se deben
relacionar con su objeto social.
LOGO
Control Interno
CLASIFICACIÓN
1. Controles preventivos.- para tratar de evitar el hecho, como
un software de seguridad que impida los accesos no
autorizados al sistema.
LOGO
Actividades control interno
1.- En una empresa cualquiera, establezca las medidas de Control
Interno que se aplican. Analice cada una de ellas y determine
cual o cuales están de acuerdo a los objetivos que persigue.
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
La implantación de una política y cultura sobre la seguridad,
requiere que sea realizada por fases y esté respaldada por
la Dirección. Cada función juega un papel importante en las
distintas etapas que son, básicamente, las siguientes:
LOGO
Control Interno
Implantación de un sistema de controles internos
informáticos
LOGO
Control Interno
Esquema del Control Interno Informático
LOGO
Control Interno
LOGO
Control Interno
Controles generales organizativos: engloba una serie de
elementos, tales como:
Políticas.
Planificación (plan estratégico de información, plan
informático, plan general de seguridad y plan de
emergencia ante desastres).
Estándares.
Procedimientos.
Organizar el departamento de informática.
Descripción de las funciones y responsabilidades dentro
del departamento.
Políticas de personal.
Asegurar que la dirección revisa todos los informes de
control y resuelve las excepciones que ocurran.
Asegurar que existe una política de clasificación de la
información.
Designar oficialmente la figura del Control Interno
Informático y de la Auditoría Informática.
LOGO
Control Interno
Controles de desarrollo, adquisición y mantenimiento de
sistemas de información: se utilizan para que se puedan
alcanzar la eficacia del sistema, economía y eficiencia, integridad
de los datos, protección de los recursos y cumplimiento con las
leyes y regulaciones. Se compone de:
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
LOGO
METODOLOGÍAS DE CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA INFORMÁTICA
LOGO
Normas de control interno informático
1. COSO (1992): Internal Control - Integrated Framework del
Committee of Sponsoring Organizations of the Treadway
Commission. Brinda recomendaciones a la dirección sobre
cómo evaluar, reportar y mejorar los sistemas de control.
LOGO
Normas de control interno informático
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Recursos de TI: COBIT clasifica los recursos de TI como datos,
sistemas de aplicación, tecnología, instalaciones y gente. Los
datos son definidos en su sentido más amplio e incluyen no sólo
números, textos y fechas, sino también objetos tales como
gráficos y sonido. Los sistemas de aplicación son entendidos como
la suma de procedimientos manuales y programados.
La tecnología se refiere al hardware, sistemas operativos, equipos
de redes y otros. Instalaciones son los recursos utilizados para
albergar y soportar los sistemas de información. Gente
comprende las capacidades y habilidades individuales para
planear, organizar, adquirir, entregar, apoyar y monitorear los
servicios y sistemas de información.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
(1)ambiente de control,
(2)evaluación de riesgos,
(3)actividades de control,
(4)información y comunicación, y
(5)monitoreo.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
Esta norma pretende aportar las bases para tener en consideración todos
y cada uno de los aspectos que puede suponer un incidente en las
actividades de negocio de la organización.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
Esta norma se estructura en 10 dominios en los que cada uno de ellos
hace referencia a un aspecto de la seguridad de la organización:
1. Política de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad del personal
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de continuidad del negocio
10.Conformidad legal
LOGO
Normas de control interno informático
ACL: Access Control List
LOGO
Normas de control interno informático
ACL: Access Control List
LOGO
Normas de control interno informático
ACL: Access Control List
LOGO
Normas de control interno informático
ACL: Access Control List
LOGO
Normas de control interno informático
ACL: Access Control List
Con ACL se puede:
6 - Identificar temas de control y asegurar el cumplimiento de las
normas
LOGO
Normas de control interno informático
ERM: Enterprise Risk Management
Responsabilidad por el ERM
La junta posee la responsabilidad de asegurarse que los riesgos
son gestionados. En la práctica, la junta delega en el equipo
gerencial la operación del marco de gestión de riesgo, quienes
son los responsables de realizar las actividades debajo. Podría
existir una función separada que coordine y maneje estas
actividades; y aplique destrezas y conocimientos especiales.
LOGO
Normas de control interno informático
Rol de la auditoría interna en el ERM
LOGO
Normas de control interno informático
Ventajas de ERM
LOGO